Karl Lauterbach, der frühere Gesundheitsminister, sah in der elektronischen Patientenakte (kurz: ePA) das „größte Digitalisierungsprojekt“ Deutschlands. Seit Anfang Oktober 2025 ist es bundesweit verpflichtend. Der Beginn war nicht problemlos.
Foto: Christian Mackie / unsplash
Bis zum Ende seiner Amtszeit sah der ehemalige Bundesgesundheitsminister Lauterbach (SPD) das erhebliche Potenzial in der digitalen Patientenakte. Immerhin soll die ePA alle wichtigen medizinische Dokumente wie Befunde, Arztbriefe und Medikationspläne an einem Ort bündeln können. Im Hinblick auf das Mega-Projekt des Ex-Ministers gehen Meinungen bislang auseinander. In einem Kommentar der Nachrichten-Website netzpolitik stellt die ePA einen großen Fehlstart in der Geschichte der deutschen Digitalisierung dar: Die Sicherheit sei unzureichend, die technische Umsetzung in Praxen und Kliniken erfolge langsam, und lediglich ein kleiner Teil der Versicherten verwende die Patientenakte aktiv. Sicherheitsbedenken wurden demnach nicht ausreichend berücksichtigt, obwohl Gesundheitsdaten als besonders sensibel gelten. Bereits vor der Pilotphase machte der Chaos Computer Club (CCC) durch einen offenen Brief an den Bundesminister Lauterbach darauf aufmerksam, dass die ePA viele Schwachstellen aufweise.
Hintergrund: Die ePA ist eine elektronische Gesundheitsakte, in der die individuelle Anamnese, Behandlungsdaten, Arztbriefe, Medikamente, Allergien und weitere Gesundheitsdaten der Krankenversicherten sektor- und fallübergreifend deutschlandweit einheitlich gespeichert werden können. Sie wurde seit 2003 im Rahmen der E-Health-Strategie vom Bundesgesundheitsministerium (BMG) erarbeitet. Seit dem 1. Oktober 2025 ist das Einspeisen der medizinischen Gesundheitsdaten in vorhandene ePAs für die niedergelassenen Mediziner sowie die Krankenhausärzte in Deutschland verpflichtend.
Start mit Restrisiko
Im konkreten Fall entdeckten zwei Sicherheitsexpert*innen auf dem Chaos Communication Congress im Dezember 2024 Mängel im System, die es Angreifern ermöglichten, über einen gefälschten Praxisausweis oder eine gefälschte Gesundheitskarte auf Gesundheitsdaten zuzugreifen. In der Folge gab Lauterbach trotzdem das Versprechen ab, es werde einen bundesweiten Start „ohne Restrisiko“ geben. Zum Rollout im Mai dieses Jahres trat fatalerweise dasselbe Geschehen erneut auf. Der Tagesschau zufolge konnten die Club-Hacker auch eine neu implementierte zentrale Schutzmaßnahme überwinden. Es sei demnach sogar möglich, auf eine spezifische Patientenakte zuzugreifen. Damit würde die ePA die festgelegten Sicherheitsanforderungen wieder einmal nicht erfüllen. Nach Meinung des Chaos Computer Clubs ist das System auch jetzt noch nicht so sicher, wie es sein könnte. Wie Bianca Kastl vom Chaos Computer Club zur Pharmazeutischen Zeitung (PZ) erklärte, habe es durchaus Verbesserungen gegeben, um das Risiko zu verringern.
Vor- und Nachteile der epa
Wie bei jeder Erneuerung gibt es auch bei der ePA Vor- und Nachteile, über die Patienten*innen genau informiert werden sollten. So bietet die ePA einen besseren Überblick über die eigene Gesundheit und schnellere Notfallbehandlungen durch die zentrale Speicherung aller medizinischen Daten. Außerdem haben die Patient*innen die Möglichkeit, den Zugang zu ihren Daten selbst zu bestimmen. Durch eine zentrale Datenspeicherung werden alle wichtigen Gesundheitsinformationen wie Befunde, Arztbriefe und Laborergebnisse an einem zentralen Ort gespeichert. Dadurch haben Ärzte einen schnellen Zugriff auf die Krankengeschichte, was im Notfall lebensrettend sein kann und Mehrfachuntersuchungen vermeidet. Das mögliche Risiko von Datenlecks kann jedoch die Verwendung der elektronischen Patientenakte beeinträchtigen. Hier sind Vor- und Nachteile genauer gegenübergestellt:
Die Vorteile
- Arztbriefe, Befunde und Medikationsliste sind digital abrufbar.
- E-Rezepte können von anderen Ärzten, zum Beispiel im Urlaub verordnet werden.
- Auch der Impf- und Mutterpass sind hinterlegt.
- Wechsel des Arztes oder der Praxis wird erleichtert.
- Zahn-Bonusheft und Kinderuntersuchungsheft sind einsehbar.
- Laborberichte und bildgebende Befunde (z. B. Röntgenbilder) sind einsehbar.
- Patient*innen entscheiden selbst, welche Dokumente in die Akte kommen, wer diese einsehen darf und wie lange diese Informationen in der Patientenakte gespeichert werden.
- Betroffene können die eigenen Dokumente wie alte Befunde oder Laborergebnisse scannen und selbst in die ePA hochladen.
- Die Verwaltung der Akte erfolgt bequem über eine Smartphone-App der Krankenkasse, über die auch Berechtigungen erteilt und Daten hochgeladen werden können.
- Versicherte können der automatischen Anlage einer ePA widersprechen, ohne dass ihnen daraus Nachteile entstehen.
Die Nachteile
- Es besteht das Risiko von Datenlecks und Cyberangriffen, auch wenn die Daten auf deutschen Servern gespeichert werden sollen.
Kritiker befürchten, dass sensible Daten missbraucht oder diskriminierend verwendet werden könnten, beispielsweise durch Versicherungen oder Arbeitgeber. - Personen ohne Internetzugang oder entsprechende Endgeräte sind im Nachteil, da die ePA hauptsächlich über eine App funktioniert.
- Da der Patient selbst entscheidet, welche Daten gespeichert werden, ist der Informationsgehalt der Akte bei vielen Nutzern möglicherweise begrenzt und könnte Datenlücken aufweisen.
- Viele Experten bevorzugen eine dezentrale Speicherung der Daten aus Gründen des Datenschutzes.
Die Diagnosen-Falle
Neben technisches Versagen ist die ePA offenbar auch nicht gegen menschliche Fehler immun. Jüngst berichtete das ZDF-Magazin frontal über Patient*innen, die in ihren Akten Diagnosen vorfanden, von denen sie keinerlei Kenntnis hatten. In einem Fall sagte ein Versicherter, dass er laut Akte ein Kollaps-Patient sei und eine Blutgerinnungsstörung habe. Das mache ihn zum Hochrisikopatienten – mit entsprechenden Zuschlägen. Das Magazin äußert, dass er mit einer tatsächlichen Erkrankung wohl kaum im Vertrieb tätig sein und am Steuer sitzen dürfte. Dabei sind einmal eingetragene Diagnosen nicht so leicht zu entfernen. Wenn es zu Unstimmigkeiten kommt, müssen die Ärzte, die die fehlerhaften Eintragungen gemacht haben, diese gegenüber der Krankenkasse berichtigen, damit die Einträge aus der Akte gelöscht werden können. Wenn die Ärzte jedoch nichts rückwirkend anpassen, wird es kompliziert. Dann bleibt meistens nur der Weg über das Gericht, wo die Patienten oft die schlechteren Karten haben. Denn: In Urteilen des Bundesgerichtshofs steht, dass Ärzte nicht gezwungen werden können, eine Diagnose zu ändern, berichtet die tagesschau.
Foto: kalhh / pixabay
Freiwillige epa für Versicherte
Laut Angaben der tagesschau haben von den über 74 Millionen Personen in Deutschland, die gesetzlich versichert sind, bislang etwa 70 Millionen ihrer Krankenkasse eine ePA erhalten (Stand: April 2025) . So bekommt jeder, der gesetzlich krankenversichert ist und keinen Widerspruch eingereicht hat, seit dem 29. April 2025 von seiner Krankenkasse eine elektronische Patientenakte. Selbst für Kinder und Jugendliche, die gesetzlich krankenversichert sind, wird eine ePA erstellt. Bis zum 15. Lebensjahr entscheiden die sorgeberechtigten Eltern über die ePA des Kindes und verwalten sie auch. Die Verwendung der ePA ist für Patient*innen nicht verpflichtend. Wer keine wünscht, Bedenken hinsichtlich der Datensicherheit hat oder noch auf die Entwicklung der ePA warten möchten, kann der eigenen Krankenkasse widersprechen.
Verwendung der ePA
Foto: Kelvin Ang / unsplash
Das Bundesministerium für Gesundheit erklärt den technischen Einstieg rund um die ePA: Demnach können alle Versicherte über die ePA-App ihrer Krankenkasse auf ihre Akte zugreifen und ihre Daten verwalten. Versicherte müssen sich bei erstmaliger Anmeldung in der ePA-App ihrer Krankenkasse entweder mit ihrem elektronischen Personalausweis und PIN oder ihrer elektronischen Gesundheitskarte (eGK) und der dazugehörigen PIN authentifizieren. Für nachfolgende Logins können die Versicherten aktiv entscheiden, welche Identifizierung sie nutzen (zum Beispiel zur Gesichtserkennung). Die PIN für ihre elektronische Gesundheitskarte (eGK) erhalten Versicherte nach Beantragung von ihrer Krankenkasse. Sie können dies in einer Filiale der Krankenkasse tun oder den Weg des Postident wählen. Damit die Zustellung nur an die richtige Person erfolgt, müssen die Versicherten dafür mit einem Personalausweis oder Reisepass ihre Identität nachweisen.
Seit dem 1. Januar 2024 stellen die Krankenkassen ergänzend zur elektronischen Gesundheitskarte (eGK) eine GesundheitsID auf Wunsch zur Verfügung. Nach Beantragung der digitalen Identität, müssen sich die Versicherte authentifizieren. Dazu können sie entweder den Personalausweis und PIN oder die eGK und PIN nutzen. Wer die ePA nur am PC nutzen will oder kann, benötigen dazu den Desktop Client. Es ist ein Programm, das direkt auf einem Computer oder Laptop installiert wird. Mit ihm haben Patientinnen und Patienten ebenso die Möglichkeit, ihre ePA zu verwalten und Informationen einzusehen. Der Client steht auf den meisten Websites der Krankenkasse zum Download zur Verfügung. Um sich anschließend einzuloggen, benötigt der Kunde die elektronische Gesundheitskarte (eGK) mit PIN sowie ein USB-Kartenlesegerät. Dem Gesundheitsministerium zufolge besteht auch die Möglichkeit, die persönliche Gesundheits-ID zu nutzen. Das Kartenlesegerät ist ein kleines elektronisches Gerät, das die eGK registriert und die Identität bestätigt. Anwender dieser Kartenlesegeräte können diese in entsprechenden Fachgeschäften oder online erwerben.
EPA der privat Versicherten
Foto: herbert11timtim / pixabay
Mittlerweile bieten auch einige private Krankenversicherungen ihren Versicherten die ePA über eine App an. Ohne vorherige Benachrichtigung und die Möglichkeit, Einspruch zu erheben, wird keine Akte erstellt – somit bleibt die Nutzung der ePA auf freiwilliger Basis. Selbst wenn Privatversicherte bereits eine ePA besitzen, können sie dieser noch widersprechen. So ist es jedem selbst überlassen, ob er eine ePA verwenden möchte. Den Angaben des Verbands der Privaten Krankenversicherung (PKV) nach wird die Akte nach denselben Spezifikationen wie bei gesetzlich Versicherten gestaltet.
Der Unterschied liegt in der Nutzung: Die Berechtigung von Leistungserbringern erfolgt ausschließlich über die ePA-App, da Privatversicherte keine elektronische Gesundheitskarte haben. Der oder die Privatversicherte sucht die gewünschte Einrichtung in der ePA-App heraus und erteilt für den gewünschten Zeitraum eine Zugriffsberechtigung. Die private Krankenkasse hinterlegt einmalig die Krankenversichertennummer (KVNR) des Patienten oder der Patientin in seiner Leistungserbringer-Software. Diese wird benötigt, um die individuelle ePA zu ermitteln. Für Praxen steht dafür das Online-Check-in-Verfahren zur Verfügung. Heißt: Privatversicherte übermitteln ihre Daten mit dem Smartphone via KIM. Letztere drei Buchstaben stehen für „Kommunikation im Medizinwesen“ und ist ein standardisierter E-Mail-Dienst. Er ermöglicht Leistungserbringern im Gesundheitswesen, medizinische Dokumente wie Arztbriefe, Befunde, Arbeitsunfähigkeitsbescheinigungen oder Heil- und Kostenpläne schnell und verschlüsselt elektronisch auszutauschen.
Identifizierung per Video
Doch egal, ob nun ePA-App, eGK, GesundheitsID, Desktop Client oder KIM – für viele sind die digitalen Abläufe nach wie vor viel zu komplex. Um dies zu erleichtern, wurde zwischenzeitlich ein zusätzliches Verfahren genehmigt, das den Zugang zur PIN erleichtern soll: Nect Ident mit ePass des Privatunternehmens Nect lautete die Zauberlösung. Hierbei erfolgt die Anmeldung über die Video-Identifizierung. Laut der Apotheken Umschau benötigen Versicherte für diese Lösung drei Dinge: ein Smartphone, ein Ausweisdokument mit Chip wie den regulären Personalausweis sowie die Nect App (genauer: Nect Wallet). Und so soll es funktionieren: Nutzer müssen ein Video von der Vorder- und eventuell auch von der Rückseite ihres Ausweisdokuments anfertigen. Danach ist es nötig, das Dokument an das Smartphone zu halten, damit der Chip über die sogenannte Near Field Communication (NFC) ausgelesen werden kann. Zum Schluss müssen die Anwender bei einem Video-Selfie zwei zufällig ausgewählte Wörter laut aussprechen. Nect zufolge kann das Verfahren mit allen EU-Pässen und Reisepässen aus 180 Ländern sowie Aufenthaltstiteln durchgeführt werden. Vorausgesetzt, diese enthalten einen NFC-fähigen Chip. Die Prüfung der Dokumente soll mithilfe von KI erfolgen.
Die ePA in der EU
Foto: Geralt / pixabay
Ein Blick über unsere Grenzen hinweg zeigt, dass auch die EU die Zukunft der Gesundheitsdaten ins Visier genommen hat. So plant der Staatenverbund mit dem „Europäischen Raum für Gesundheitsdaten“ (EHDS) einen einheitlichen Zugriff auf elektronische Patientenakten, um den Patienten einen verbesserten digitalen Zugang zu ihren Gesundheitsdaten zu ermöglichen. Ein einfacher und sicherer Austausch von Daten wie elektronischen Rezepte, Laborergebnisse und Bilder zwischen den Ländern soll die medizinische Versorgung in der EU deutlich verbessern, so das gemeinsame Ziel. Auch Fachkräfte im Gesundheitswesen sollen umfassenden Zugang zu den sensiblen Daten wie etwa Röntgenbilder und Impfungen erhalten, die für die optimale Behandlung von Patientinnen und Patienten notwendig seien. So haben…
- Patienten die Möglichkeit, ihre Gesundheitsdaten wie elektronische Rezepte, Laborwerte und Arztberichte grenzüberschreitend innerhalb der EU abzurufen und zu verwenden, um sich medizinisch behandeln zu lassen.
- Auch für Forschungszwecke, etwa in der Krebsforschung oder bei seltenen Erkrankungen, können Gesundheitsdaten weitergegeben werden – allerdings nur unter strengen Datenschutzauflagen.
- Der Austausch erfolgt in einem sicheren, standardisierten Format namens EEHRxF, das von der Europäischen Kommission eingeführt wurde, um die nahtlose Übertragung von Gesundheitsdaten zwischen verschiedenen Softwareanwendungen, Geräten und Gesundheitsdienstleistern zu ermöglichen.
- Medikamente können durch die Übermittlung einer elektronischen Verschreibung aus dem Heimatland in einem anderen EU-Land erworben werden.
Die Europa-Karte illustriert den aktuellen Stand der Digitalisierung im Gesundheitswesen ausgewählter Länder, die Teil der Europäischen Union sind. Interessierte Leser*innen können HIER den aktuellen Stand zu diesem Thema einsehen.
Ausblick
Zum Schluss noch etwas Bemerkenswertes: Ergebnisse einer Forsa-Befragung im Auftrag des Bundesverbands der Allgemeinen Ortskrankenkasse (AOK) zeigen, dass trotz des holprigen Starts 83 Prozent der gesetzlich versicherten Personen in Deutschland die Regelung zur verpflichtenden Befüllung der ePA unterstützen, während nur 14 Prozent dagegen sind. Die Befragung zeigt jedoch auch, dass es beim Thema ePA immer noch einen hohen Informationsbedarf gibt. So gaben 54 Prozent der Befragten an, dass sie sich persönlich weniger oder gar nicht gut über die elektronische Patientenakte informiert fühlen. Dagegen glauben 45 Prozent, dass sie sich eher bis sehr gut informiert fühlen. Die Befragten sehen bei der Bereitstellung von Informationen vor allem die Krankenkassen in der Verantwortung (92 Prozent), gefolgt von staatlichen Institutionen wie dem Bundesgesundheitsministerium (75 Prozent), den ärztlichen Praxen (71 Prozent) und schließlich den Medien (53 Prozent).
Auch die breite Akzeptanz der ePA im Bundesland Hessen ist aufschlussreich. Wie die Gesundheitskasse AOK in Hessen berichtet, empfinden 80 Prozent der hessischen Bevölkerung die Einführung und die verpflichtende Befüllung der Akte durch Praxen und Kliniken als gut oder sehr gut. Zwei Drittel beabsichtigen, sie aus der heutigen Perspektive aktiv zu verwenden. Allerdings fühlt sich mehr als die Hälfte der Befragten nur unzureichend über die Möglichkeiten der ePA informiert. Dennoch stellt die AOK-Hessen in ihrem Bericht in Aussicht: „Schon heute berichten Ärztinnen und Ärzte, dass die automatisch befüllte Medikationsliste in der ePA einen besseren Überblick über Medikamente ermöglicht, die von Kolleginnen und Kollegen verordnet wurden. Wenn jetzt Dokumente wie Arztbriefe oder Laborbefunde hinzukommen und die letzten technischen Hürden überwunden sind, dürfte die Nutzung der elektronischen Patientenakte schnell zu einer selbstverständlichen Routine werden“.
